Introducción a las Listas de Control de Acceso (ACL)

Ing. José Luis Martínez

1
Introducción
 La seguridad de la red es un tema muy amplio y una buena parte
de él va más allá del alcance de este curso. No obstante, una de
las capacidades más importantes que un administrador de red
necesita es el dominio de las listas de control de acceso (ACL).
 Los administradores utilizan las ACL para detener el tráfico o
permitir sólo el tráfico específico y, al mismo tiempo, para
detener el resto del tráfico en sus redes.
 Los diseñadores de red utilizan firewalls para proteger las redes
contra el uso no autorizado. Los firewalls son soluciones de
hardware o software que hacen cumplir las políticas de seguridad
de la red.
 Es como la cerradura de la puerta de la habitación de un edificio.
La cerradura sólo permite que ingresen los usuarios autorizados
con una llave o tarjeta de acceso.
J.L.M 2
Introducción
 Del mismo modo, los firewalls filtran el ingreso a la red de los
paquetes no autorizados o potencialmente peligrosos.
 En un router Cisco, puede configurar un simple firewall que
proporcione capacidades básicas de filtrado de tráfico mediante
las ACL.
 Una ACL es una lista secuencial de sentencias de permiso o
denegación que se aplican a direcciones o protocolos de capa
superior.
 Las ACL brindan una manera poderosa de controlar el tráfico de
entrada o de salida de la red. Puede configurar las ACL para
todos los protocolos de red enrutados.
 El motivo más importante para configurar las ACL es brindar
seguridad a la red.
J.L.M 3
Funciones ACL
 Limitar el tráfico de red para mejorar el rendimiento de ésta. Esto reduce
considerablemente la carga de la red y aumenta su rendimiento.
 Brindar control de flujo de tráfico. Las ACL pueden inclusive restringir el
envío de las actualizaciones de enrutamiento y asi se preserva el ancho de
banda.
 Proporcionar un nivel básico de seguridad para el acceso a la red. Las ACL
pueden permitir que un host acceda a una parte de la red y evitar que otro
acceda a la misma área.
 Se debe decidir qué tipos de tráfico enviar o bloquear en las interfaces del
router. Por ejemplo, una ACL puede permitir el tráfico de correo
electrónico, pero bloquear todo el tráfico de Telnet.
 Controlar las áreas de la red a las que puede acceder un cliente.
 Analizar los hosts para permitir o denegar su acceso a los servicios de red.
Las ACL pueden permitir o denegar el acceso de un usuario a tipos de
archivos, como FTP o HTTP.
J.L.M 4
Filtrado de paquetes
 El filtrado de paquetes, analiza los paquetes de entrada y de salida y
permite o bloquea su ingreso según un criterio establecido.
 Un router actúa como filtro de paquetes cuando reenvía o deniega
paquetes según las reglas de filtrado.
 Cuando un paquete llega al router, éste extrae determinada información
del encabezado del paquete y toma decisiones según las reglas de
filtrado, ya sea autorizar el ingreso del paquete o descartarlo.
 El filtrado de paquetes actúa en la capa de red del modelo de
interconexión de sistema abierto OSI o en la capa Internet de TCP/IP.
 Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza
reglas para determinar la autorización o denegación del tráfico según las
direcciones IP de origen y de destino, el puerto origen y el puerto
destino, y el protocolo del paquete. Estas reglas se definen mediante las
listas de control de acceso o ACL.
J.L.M 5
¿ Qué es una Lista de Control de Acceso (ACL)?
 Una lista de criterios mediante los cuales todos los paquetes son
comparados.
 Una lista secuencial de sentencias de permiso o denegación que se aplican a
direcciones IP o protocolos de capa superior.
 Ejemplos:
– Pertenece este paquete a la red 10.5.2.0 ? .
 Si, tome la acción correspondiente (permit o deny).
 No, chequeé la próxima linea de la ACL.
– Proviene este paquete telnet de la red 25.25.0.0 ?
 Si, tome la acción correspondiente (permit o deny).
 No, chequeé la próxima linea de la ACL.
 Al llegar al final de la ACL niegue o permita todo otro tipo de tráfico (el
deny está implícito).
J.L.M 6
¿ Qué es una Lista de Control de Acceso (ACL)?
 ACL

J.L.M 7
¿ Como trabaja una lista de acceso (ACL)?

 Los paquetes son comparados a cada línea de la ACL

secuencialmente de arriba hasta abajo.

 Mientras más pronto se tome una decisión mejor.

 Una ACL bien hecha toma en consideración primero el

tráfico más abundante.

 Todas las ACL finalizan con un deny all implícito.

J.L.M 8
¿ Como trabaja una lista de acceso (ACL)?

 ACL de entrada

J.L.M 9
¿ Como trabaja una lista de acceso (ACL)?

 ACL de salida

J.L.M 10
Lista de Control de Acceso (ACL)

 Un filtro a través del cual todo el tráfico debe pasar.

 Proveé seguridad.

 Administra el ancho de banda.

 Mientras más pronto se tome una decisión mejor.

 Dos tipos a estudiar: Estándar y Extendida.

J.L.M 11
Access Lists Estándar
 La ACL estándar es una colección secuencial de condiciones
de permiso o denegación que aplican a las direcciones IP. No
se incluyen el destino del paquete ni los puertos involucrados.
 Su filtrado se basa solo en la dirección origen del paquete.
 El orden de las condiciones es muy importante, ya que el
software detiene las condiciones de prueba luego de la primera
coincidencia. Si no coinciden ningunas de las condiciones, se
rechaza la dirección.
 Deben ser aplicadas lo más cerca del destino.
 Identificadas por un número entre 1-99.

J.L.M 12
Access Lists Estándar
 Ubicación de una ACL estándar

J.L.M 13
Access Lists Extendidas
 Son mucho más flexibles y complejas.

 Pueden filtrar en base a:

– Dirección origen.

– Dirección destino.

– Protocolos (ICMP, TCP, UDP ...).

– Número de puerto (80, http; 23, telnet …).

 Deben ser aplicadas lo más cerca del origen.

 Identificadas por un número entre 100-199.

J.L.M 14
Access Lists Extendidas
 Ubicación de una ACL extendida

J.L.M 15
Dos pasos : crear y aplicar (Estándar)
 Paso 1.- Crear la ACL.
– access-list # permit/deny source IP wildcard

 # : 1-99.
 permit/deny : Deja pasar o descarta el paquete.
 source IP : Dirección IP con la cual el paquete debe ser
comparado. Puede también usarse ANY.
 wildcard : Ver próximas láminas.
 Paso 2.- Aplicar la ACL en una interfaz.
– Debe hacerse en modo de configuración de interfaz
(config-if)#.
– Comando : IP access-group # in/out (Visto desde el
router).
J.L.M 16
Máscara wildcard
 Te permite establecer un rango de direcciones IP.

 Dos valores son usados:

– 0 = Deben coincidir exactamente.

– 1 = No tiene importancia si coinciden o no.

J.L.M 17
Máscara wildcard
 Las sentencias de las ACL incluyen máscaras, también denominadas
máscaras wildcard. Una máscara wildcard es una secuencia de dígitos
binarios que le indican al router qué partes la dirección IP observar.
 Aunque las máscaras wildcard no tienen una relación funcional con las
máscaras de subred, sí proporcionan una función similar.
 Esta wildcard determina a qué parte de la dirección IP se le debe aplicar
la concordancia de direcciones. Los números 1 y 0 de la máscara
identifican cómo considerar los bits de direcciones IP correspondientes.
 Las máscaras wildcard utilizan unos y ceros binarios para filtrar
direcciones IP individuales o en grupo para permitir o denegar el acceso
a recursos según la dirección IP.
 Al configurar cuidadosamente las máscaras wildcard, puede permitir o
denegar una o varias direcciones IP.
J.L.M 18
Ejemplos de wildcard
Network Wildcard

 195.34.5.12 0.0.0.0

 Resultado: La wilcard nos indica que deben coincidir los

cuatro octetos.

 Solo 195.34.5.12 coincide.

 Puede también usarse host 195.34.5.12 en lugar de la wildcard.

Host indica que un match o coincidencia exacta se necesitan.

J.L.M 19
Ejemplos de wildcard
Network Wildcard

 172.16.10.0 0.0.0.255

 Resultado: La wilcard nos indica que deben coincidir

exactamente los tres primeros octetos, pero se debe ignorar el
último. Esto deriva en el filtrado de un rango de Ips.

 Dicho rango abarca desde 172.16.10.0 hasta 172.16.10.255 y

resulta del rango de variación posible del último octeto.

J.L.M 20
Dos pasos : crear y aplicar (Extendida)
 Crear la ACL extendida

J.L.M 21
Dos pasos : crear y aplicar (Extendida)
 Aplicar la ACL extendida

J.L.M 22
Deny any y permit any

 Recuerde el deny all implícito al final de cada ACL.

 Dos casos:

– Determine el tráfico que usted desea permitir. Niegue

cualquier otro tipo de tráfico (deny any, implícito).

– Determine el tráfico que usted desea negar. Permita

cualquier otro tipo de tráfico (permit any).

J.L.M 23
Implementación Access Lists

 No se pueden incluir o remover líneas de una ACL

selectivamente.

 Las modificaciones típicamente se hacen con un editor de

texto y luego se incluyen en el router como una nueva lista.

 La nueva ACL se aplica y la vieja es removida de la interfaz.

 Puedes documentar tu ACL.

– Despues de cada línea, indica exactamente que se supone

que hace esa línea
J.L.M 24
Monitoreo de Access Lists
 Verificar las ACLs
– Show access-lists.
– Show IP interfaces.
 Revisar las ACL despues de unos días.
– Los routers mantienen un registro del número de paquetes
que coinciden con cada una de las líneas en una ACL.
– Esta información se debe usar para reordenar las ACL y
mejorar así su eficiencia.
 Evite remover, sin tomar las medidas necesarias, una ACL
que esta aplicada a una interfase, esto puede crear
problemas en el router.
J.L.M 25
Resumen

 Son creadas y luego aplicadas a una interface.

 Se implementan secuencialmente de arriba hacia abajo.

 Al final de todas las ACL existe un deny implícito.

 Rangos: Estándar 1-99, Extendidas 100-199.

 La estándar usa solo la dirección de origen para filtrar.

 La extendida usa el origen, el destino, el protocolo y el número

de puerto.
J.L.M 26